Перейти до змісту

Хитрий вірус і WebMoney


kudrom

Рекомендовані повідомлення

Така штука: коли в Вебмані вибираю "Копировать номер кошелька в буфер", в буфері з’являється зовсім інший номер. Просканував комп NOD’ом - не допомагає... Хто знає, що це за хитрий вірус і чим його можна вилікувати??

Посилання на коментар
Поділитись на інші сайти

Цей спосіб став вже загальновживаним. Це навіть не певний вірус а технологія. Аналогів створених по ній сотні.

Trojan-PSW.Win32.WebMoner.j

Rootkit: Нет

Видимые проявления: Посторонний процесс в памяти

Подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена

Синонимы: Trojan.PWS.Webmonier (DrWEB)

Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции:

1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя

2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System

3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы "Яндекс.Деньги".

Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги.

Методика защиты

Методика защиты достаточно проста - следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.

А ось темка з добре всім відомого форуму https://forum.zloy.org/showthread.php?t=20148

Візьми відкрий таскменеджер, відсортуй процеси за відсотком юзання CPU і постійно копіюй і вставляй номери WebMoner гаманців. І вот який процес активізується (крім самого кіпера) думаю той і буде трояном.

Посилання на коментар
Поділитись на інші сайти

ещё хорошая практика юзать "код протекции" для оплаты даже "доверенным" пользователям

Посилання на коментар
Поділитись на інші сайти

Що найбільше обідно, що попередній раз платіж приходив від цієї людини з кодом протекції.... А то якось на автоматі "копіювати-вставити" і капєц... Добре, що хоч сума невеличка, будемо вважати це отриманим досвідом :))

Посилання на коментар
Поділитись на інші сайти

стукни в арбитраж, пусть забанят бойца

не нужно такое спускть на тормозах

Посилання на коментар
Поділитись на інші сайти

"Бійця" забанили. А ще подав скаргу в арбітраж, не пожалів одного бакса. Не вернуть, то не вернуть, але фіг він свої/чужі гроші забере!

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...